HSM bare metal

Nesta página, você encontra uma visão geral da solução Bare Metal HSM.

Visão geral

O Bare Metal HSM é uma oferta de infraestrutura como serviço que permite implantar módulos de segurança de hardware (HSMs, na sigla em inglês) de propriedade do cliente ao lado das cargas de trabalho do Google Cloud. Os HSMs são implantados em instalações compatíveis com PCI para atender aos requisitos de segurança, conformidade e baixa latência.

Para oferecer suporte à migração de cargas de trabalho para a nuvem, o Google hospeda os HSMs, fornecendo segurança física e de rede, espaço em rack e prateleira, energia e integração de rede por uma taxa mensal.

O Bare Metal HSM permite contratar diretamente com o Google para a colocação dos seus HSMs. Os HSMs são colocados dentro das instalações de colocation especificadas e se conectam ao Google Cloud.

A solução Bare Metal HSM é compatível com instalações de colocation com malhas de peering ativas. Essas instalações atendem e excedem os padrões do Google para segurança de data center e fornecem serviço altamente disponível e de baixa latência.

Comparação com o Bare Metal Rack HSM

Tanto o Bare Metal Rack HSM quanto o Bare Metal HSM permitem hospedar os próprios HSMs nas instalações do Google Cloud. A principal diferença entre as soluções Bare Metal Rack HSM e Bare Metal é a escala. A tabela a seguir resume as principais diferenças entre essas soluções:

HSM bare metal HSM com Rack Bare Metal
O Google hospeda os HSMs por dispositivo. O Google hospeda os HSMs por rack.
Você tem acesso lógico aos HSMs, mas não tem acesso físico. Você tem acesso lógico aos seus HSMs e pode programar o acesso físico acompanhado.
Destinado a pequenas implantações de 10 a 15 HSMs Destinado a grandes implantações no nível do rack de 100 ou mais HSMs

Se não tiver certeza de qual dessas soluções é certa para suas necessidades, entre em contato com o representante da conta.

Modelo operacional

  • Processo de integração
    • Contrato: mínimo de 12 meses. O Suporte Premium é obrigatório.
    • Aquisição e configuração: sua organização adquire, configura e envia HSMs para o Google.
    • Rack, empilhamento e conexão: o Google implanta os HSMs e configura a conexão de Interconexão por parceiro.
    • Validação e transferência: confirme a solução de engenharia e a acessibilidade para os HSMs, teste a solução e aprove.
  • Modelo de suporte
    • O Google oferece suporte para rack e pilha, hospedagem, mãos inteligentes, conformidade e conexão de Interconexão por parceiro.
    • Trabalhe com o fornecedor do HSM para suporte ao software, ao licenciamento, às ferramentas e à solução de problemas do HSM.
  • Processo de desativação
    • Você envia uma solicitação de desativação.
    • É necessário apagar todos os dados e inicializar o HSM com a configuração original.

Requisitos de conformidade

Essa oferta é limitada a HSMs com certificação FIPS 140-2 nível 3 ou superior, e não é um serviço generalizado de hospedagem ou colocation. A solução HSM da Bare Metal é hospedada em instalações totalmente compatíveis com PCI-DSS, PCI-3DS e SOC 1, 2 e 3. O Google oferecerá suporte à sua AOC para conformidade com PCI-PIN, PCI-P2PE e SOC em todas as regiões.

Separação de responsabilidades

É sua responsabilidade receber e provisionar HSMs e enviá-los às regiões apropriadas do Google Cloud. Você escolhe se quer usar os HSMs, mas eles precisam cumprir os requisitos de equipamento do HSM.

O Google pré-configura os racks, os interruptores na parte superior do rack e a conectividade. As chaves são de diferentes fornecedores para cada par de racks. Para a solução Bare Metal HSM, você tem seus próprios racks e interruptores. O Google fornece um serviço de rack para seus HSMs e trabalha com você para validar a conexão da Interconexão por parceiro. Cada rack tem fontes de alimentação redundantes.

Como acessar o HSM Bare Metal

Você tem acesso de gerenciamento lógico aos HSMs e é responsável pela manutenção e pelo gerenciamento deles. Você mantém o controle total dos HSMs.

O Google não tem acesso lógico aos seus HSMs, mas fornece e mantém os racks, a alternância e a conexão. O Google não tem acesso aos dados ou às chaves no seu HSM.

Você precisa implantar HSMs com capacidades completas de gerenciamento remoto. Não é possível acessar fisicamente seus HSMs enquanto eles estão na instalação de colocation.

O Google oferece um serviço remoto para mãos. Não são permitidas visitas de clientes às instalações. Você é responsável pelos seus próprios requisitos de conformidade e auditoria.

No final do contrato ou do fim da vida útil do HSM, envie uma solicitação para desativar os HSMs e apague todos os dados ou restaure os HSMs para as configurações de fábrica. Depois que os HSMs forem apagados ou redefinidos e houver a liberação legal, eles serão enviados de volta para você ou destruídos se não puderem ser devolvidos.

Requisitos de equipamento do HSM

Nesta seção, detalhamos os requisitos físicos para HSMs e cabos associados para hospedagem de HSMs em uma instalação do Google.

O número de HSMs que podem caber em um rack depende do número de portas disponíveis no modelo atual do switch da parte superior do rack, do número de unidades de rack que ocupam o modelo do HSM e do consumo de energia dos HSMs.

  • Energia
    • Fontes de alimentação CA duplas (máximo de 16 A por fonte de alimentação).
  • Distribuição de energia
    • Linha 208V linha a linha (para locais nos Estados Unidos).
    • PDU do rack com receptáculos e saídas C13 ou C19.
  • Cabos de alimentação (que serão fornecidos por você)
    • A extremidade do cabo da PDU do rack precisa ser do tipo conector C14 ou C20.
    • Dois cabos de alimentação de 2 metros ou 2 metros (comprimento preferencial).
  • Rede
    • Controlador da interface de rede: placas de rede (NICs) de cobre duplas de 1G (se aplicável).
  • Cabos de rede (a serem fornecidos por você)
    • 2 x 6 pés ou 2 metros (comprimento preferencial) CAT-5e ou cabos patch melhores.
  • Dimensões físicas
    • Profundidade do rack: 100 cm de profundidade.
    • Espaçamento da unidade do rack: suporte de rack padrão EIA-310 de 19" com furos quadrados. Ocupa até quatro unidades de rack por HSM.
  • Segurança
    • Os HSMs não podem ser equipados com câmeras ou redes sem fio, como Bluetooth.
    • O HSM precisa ter a certificação FIPS 140-2 Nível 3 ou superior.
  • O HSM precisa ser totalmente gerenciável remotamente.

Não há requisitos para peso ou resfriamento.

Visão geral da implantação

Para se qualificar para um SLA de tempo de atividade de 99,99%, você precisa atender aos seguintes requisitos:

  • Implantar HSMs em pelo menos duas regiões do Google Cloud.
  • Implante no mínimo dois HSMs por região (pelo menos um HSM por rack em no mínimo dois racks).

Forneça ao Google o endereço MAC de cada interface de rede HSM e o endereço IP atribuído a ele. Essas informações ajudam o Google a verificar o cabeamento de servidor a topo do rack e ajudam a resolver problemas durante o processo de implantação.

Os requisitos de rede serão discutidos com mais detalhes com seu representante de conta durante o processo de integração.

Topologia de rede

Um par de racks em um único local é coberto por um SLA de 99,9%.

Uma implantação completa em dois locais oferece um SLA de 99,99%.

Os aplicativos precisam ser projetados para aproveitar esse modelo de redundância. O aplicativo deve ser capaz de fazer failover da zona 1 para a zona 2 em um único local, do HSM para o HSM.

A ativação do recurso de roteamento global permite que os HSMs em qualquer local alcancem os recursos do Google Cloud em qualquer região.

Uma única falha de conexão da Interconexão por parceiro não é uma violação de SLA.

O diagrama detalhado a seguir mostra a conectividade necessária para alcançar um SLA de 99,99% no serviço.

Topologia de rede do HSM Bare Metal

  • Cada implantação de região contém no mínimo dois racks para seu uso e um interruptor por rack.
  • As chaves superior do rack são fornecidas pelo Google e são de diferentes fornecedores.
  • Cada switch superior do rack tem uma Interconexão por parceiro de 10 Gbps com anexos da VLAN redundantes para a Interconexão por parceiro para Cloud Routers redundantes.
  • Cada HSM precisa ter no mínimo duas interfaces de rede de cobre 1GE com conexões redundantes para as duas chaves no topo do rack. As interfaces de gerenciamento e de dados precisam ter as próprias conexões redundantes com as chaves na parte superior do rack.
  • Forneça as alocações de endereço IP para as redes HSM.
  • As chaves mais avançadas divulgam as sub-redes conectadas localmente ao par de Cloud Routers.
  • Ative o roteamento dinâmico global na nuvem privada virtual (VPC) para permitir acesso aos HSMs de qualquer região do Google Cloud em que você tenha implantado recursos. O roteamento dinâmico global também é necessário para se qualificar para a disponibilidade de 99,99%.
  • O BGP entre as chaves do topo do rack e os Cloud Routers nas informações de acessibilidade do projeto troca para rotear entre os recursos do projeto do Google Cloud e os HSMs.

Requisitos de rede

Conclua as etapas a seguir para cada conjunto de racks em uma região para permitir que seus HSMs sejam hospedados com o Google:

  1. Crie um par redundante de Cloud Routers por região usando ASN16550. Para instruções detalhadas, consulte Como criar Cloud Routers.

  2. Crie dois pares redundantes de anexos da VLAN com Interconexão por parceiro por região usando os Cloud Routers da etapa anterior. Crie os anexos com a opção de pré-ativação ativada. É preciso que haja um total de quatro anexos por região. Se os anexos foram criados sem a opção de pré-ativação, você pode ativar as conexões manualmente.

    Para saber mais sobre a Interconexão por parceiro e as opções de pré-ativação, consulte Visão geral da Interconexão por parceiro.

  3. Ativar o roteamento dinâmico global na rede VPC.

  4. Configure as regras de firewall conforme necessário para permitir o tráfego entre os recursos das instalações e do projeto.

Entrar em contato com o Google

Esse produto está disponível apenas para clientes com requisitos técnicos e de negócios específicos. Esse produto está disponível apenas em regiões limitadas.

Se você tiver interesse no Bare Metal HSM com o Google, entre em contato com o representante da sua conta para receber mais ajuda.